勒索恶意攻击软件,勒索软件攻击目标

导航：

• 1、如何应对勒索软件的威胁
• 2、勒索病毒的攻击过程是怎样的？
• 3、怎么清除电脑勒索软件
• 4、勒索软件入侵什么系统
• 5、谁是勒索软件真正的攻击目标

如何应对勒索软件的威胁

面对勒索软件，大部分的保护措施都主要依赖于定期更新操作系统、软件和杀毒工具，虽然这种方式可以有效抵御已知的勒索软件病毒，但是在面对未知的变种软件时却无能为力。

勒索软件攻击之所以能有如此高的成功率，其直接原因是杀毒软件的问题——它们通常会依赖于静态的，基于签名的方式来检测勒索软件。由于部分变种勒索软件每天都在不断地更新，因此基于签名检测的防御手段根本不可能跟上这个节奏。

现在基于行为的检测机制已经成为了检测与阻止勒索软件攻击的关键。

另外一项防御勒索软件的措施是为文件备份，备份在云端网盘上，这样你也能恢复被加密的文件。

勒索病毒的攻击过程是怎样的？

勒索病毒工作原理勒索恶意攻击软件：

勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件，并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式，向受害电脑或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将无法恢复。

1、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒，攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运行病毒，运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示：

攻击流程

2、针对企业用户常见的攻击方式

勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中，钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。

1）系统漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误，不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。同个人用户一样，企业用户也会受到系统漏洞攻击，由于企业局域网中机器众多，更新补丁费时费力，有时还需要中断业务，因此企业用户不太及时更新补丁，给系统造成严重的威胁，攻击者可以通过漏洞植入病毒，并迅速传播。席卷全球的Wannacry勒索病毒就是利用勒索恶意攻击软件了永恒之蓝漏洞在网络中迅速传播。

攻击者利用系统漏洞主要有以下两种方式，一种是通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒。

通过系统漏洞扫描网络中的计算机

另外一种是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离， 一台连接了外网的机器被入侵，内网中存在漏洞的机器也将受到影响。

入侵一台机器后再通过漏洞局域网横向传

网上有大量的漏洞攻击工具，尤其是武器级别的NSA方程式组织工具的泄露，给网络安全造成了巨大的影响，被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具，封装为图形化一键自动攻击工具，进一步降低了攻击的门槛。

2）远程访问弱口令攻击

由于企业机器很多需要远程维护，所以很多机器都开启了远程访问功能。如果密码过于简单，就会给攻击者可乘之机。很多用户存在侥幸心理，总觉得网络上的机器这么多，自己被攻击的概率很低，然而事实上，在全世界范围内，成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令，被不同的攻击者攻击，植入了多种病毒。这个病毒还没删除，又中了新病毒，导致机器卡顿，文件被加密。

通过弱口令攻击和漏洞攻击类似，只不过通过弱口令攻击使用的是暴力破解，尝试字典中的账号密码来扫描互联网中的设备。

弱口令扫描网络中的计算机

通过弱口令攻击还有另一种方式，一台连接外网的机器被入侵，通过弱口令攻击内网中的机器。

入侵一台机器再弱口令爆破局域网机器横

3）钓鱼邮件攻击

企业用户也会受到钓鱼邮件攻击，相对个人用户，由于企业用户使用邮件频率较高，业务需要不得不打开很多邮件，而一旦打开的附件中含有病毒，就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图：

钓鱼邮件攻击逻辑

文章转载至：2018勒索病毒全面分析报告

怎么清除电脑勒索软件

一、勒索软件清除工具

许多勒索软件清除工具都是可以在线使用或者下载使用的，其中也有很多是支持免费使用的，这些工具会扫描计算机以查找勒索软件，然后将其删除，还可以恢复加密文件。

目前国外主流的勒索软件删除工具包括Bitdefender的Ransomware Decryptor，Kaspersky的Ransomware

Decryptor和Malwarebytes的 Anti-Ransomware，国内的有很多都是全家桶，在删除勒索软件的同时，也安装了恶意软件。

二、系统还原

是一项Windows功能，可以将计算机还原到较早的状态，这有助于删除勒索软件。如果勒索软件感染了计算机，可以使用系统还原来撤消更改并删除勒索软件。

但其实我们很少用到这个功能，因为我们所谓的优化系统，第一步就是关闭系统还原，大部分人使用电脑的意识并不高，就算没有关闭系统还原，那还原出来的系统还是会丢失不少文件，因为大部分人习惯性把文件保存在桌面或我的文档里。

三、安全模式

是Windows中的一个功能，仅使用基本服务和驱动程序启动计算机，这可以帮助删除勒索软件，因为它允许启动不必要的程序或文件的系统。如果计算机上安装了勒索软件，在安全模式下，大部分恶意程序不会被加载运行。可以通过在启动时按F11或者F8来启用安全模式。

带网络的安全模式类似于安全模式，但它也会启动网络服务，以便可以连接到互联网。这有助于删除勒索软件，因为你可以从网络下载恶意软件删除工具和其他文件。

四、杀毒软件

也可以称为防病毒软件，它是一种保护计算机免受恶意软件(包括勒索软件)侵害的软件。可以在计算机上安装防病毒软件，或者可以使用在线杀毒毒扫描程序。一些流行的杀毒软件包括国内外的Bitdefender、卡巴斯基、小红伞、360、金山、微点等。最好更新到最新版本，以保护您的计算机免受勒索软件的侵害。

五、备份

备份是勒索软件保护的重要组成部分。如果你的文件有备份，当文件被勒索软件加密，可以恢复它们。但需要注意的是，应该始终将文件备份到单独的位置。如果勒索软件感染您的计算机，这将保护您的备份文件不丢失。如果计算机感染了勒索软件，备份也有助于恢复文件。

勒索软件入侵什么系统

自2005年以来，勒索软件已经成为最普遍勒索恶意攻击软件的网络威胁。根据资料显示，在过去11年间，勒索软件感染已经涉及超过7694到6013起数据泄露事故。多年来，主要有两种勒索软件：基于加密和基于locker的勒索软件。加密勒索软件通常会加密文件和文件夹、硬盘驱动器等。而Locker勒索软件则会锁定用户设备，通常是基于Android的勒索软件。新时代勒索软件结合了高级分发技术(例如预先建立基础设施用于快速广泛地分发勒索软件)以及高级开发技术(例如使用crypter以确保逆向工程极其困难)。此外，离线加密方法正越来越流行，其中勒索软件利用合法系统功能(例如微软的CryptoAPI)以消除命令控制通信的需要。Solutionary公司安全工程及研究小组(SERT)的Terrance DeJesus探讨了这些年以来勒索软件的发展史以及亮点。AIDS Trojan第一个勒索软件病毒AIDS Trojan由哈佛大学毕业的Joseph L.Popp在1989年创建。2万张受感染的软盘被分发给国际卫生组织国际艾滋病大会的与会者。该木马的主要武器是对称加密，解密工具很快可恢复文件名称，但这开启了近30年的勒索软件攻击。Archievus在第一款勒索恶意软件出现的近二十年(17年)后，另一种勒索软件出现。不同的是，这个勒索软件更加难以移除，并在勒索软件历史上首次使用RSA加密。这个Archiveus Trojan会对系统中“我的文档”目录中所有内容进行加密，并要求用户从特定网站来购买以获取密码解密文件。Archiveus也是第一个使用非对称加密的勒索软件辩题。2011年无名木马在五年后，主流匿名支付服务让攻击者更容易使用勒索软件来从受害者收钱，而不会暴露自己身份。在同一年，与勒索软件木马有关的产品开始流行。一款木马勒索软件模拟用户的Windows产品激活通知，告知用户其系统的安装因为欺诈需要重新激活，并定向用户到假的在线激活选项，要求用户拨打国际长途。该恶意软件声称这个呼叫为免费，但实际呼叫被路由到假冒的接线员，并被搁置通话，导致用户需要承担高额国际长途电话费。Reveton名为Reveton的主要勒索木马软件开始在整个欧洲蔓延。这个软件是基于Citadel Trojan，该勒索软件会声称计算机受到攻击，并被用于非法活动，用户需要使用预付现金支付服务来支付罚款以解锁系统。在某些情况下，计算机屏幕会显示计算机摄像头记录的画面，让用户感觉非法行为已被记录。此事件发生后不久，涌现很多基于警察的勒索软件，例如Urausy和Tohfy。研究人员在美国发现Reveton的新变种，声称需要使用MoneyPak卡向FBI支付200元罚款。Cryptolocker2013年9月是勒索软件历史的关键时刻，因为CryptoLocker诞生了。CryptoLocker是第一款通过受感染网站下载或者发送给商务人士的电子邮件附件形式的加密恶意软件。CryptoLocker感染快速蔓延，因为威胁着利用了现有的GameOver Zeus僵尸网络基础设施。在2014年的Operation Tovar终止了GameOver Zeus Trojan和CryptoLocker活动。CryptoLocker利用AES-256lai加密特定扩展名的文件，然后使用命令控制服务器生成的2048位RSA密钥来加密AES-256位密钥。C2服务器位于Tor网络，这让解密很困难，因为攻击者将RSA公钥放在其C2服务器。攻击者威胁称如果在三天内没有收到钱勒索恶意攻击软件他们将删除私钥。Cryptodefense在2014年，CryptoDefense开始出现，这个勒索软件利用Tor和Bitcoin来保持匿名，并使用2048位RSA加密。CryptoDefense使用Windows内置加密CryptoAPI，私钥以纯文本格式保存在受感染计算机—这个漏洞当时没有立即发现。CryptoDefense的创造者很快推出改名版CrytoWall。与CryptoDefense不同，CryptoWall不会存储加密密钥在用户可获取的地方。CryptoWall很快广泛传播，因为它利用了Cutwail电子邮件活动，该活动主要针对美国地区。CryptoWall也通过漏洞利用工具包来传播，并被发现是Upatre活动中下载的最后有效载荷。CryptoWall有过多次有效的活动，都是由相同的攻击者执行。CryptoWall展现出恶意软件开发的进步，它可通过添加额外的注册表项以及复制自身到启动文件夹来保持持续能力。在2015年，网络威胁联盟公布覆盖全球的CryptoWall活动，金额达到3.25亿美元。Sypeng和KolerSypeng可被认为是第一款锁定用户屏幕并显示FBI处罚警告消息的基于Android的勒索软件。Sypeng通过短消息中假的Adobe Flash更新来传播，需要支付MonkeyPak 200美元。Koler勒索软件与Sypeng非常类似，它也是用假冒警察处罚，并要求MoneyPak支付赎金。Koler被认为是第一个Lockerworm，因为它包含自我繁殖技术，它可发送自定义消息到每个人的联系人列表，指引他们到特定网址再次下载勒索软件，然后锁定其系统。CTB-Locker和SimplLocker与过去其他变体不同，CTB-Locker直接与Tor中C2服务器通信，而不是具有多层基础设施。它也是第一个开始删除windows中Shadow Volume副本的勒索软件变体。在2016年，CTB-Locker更新为针对目标网站。SimplLocker也在2014年被发现，它被认为是第一款针对Android移动设备的基于Crypto的勒索软件，它会简单地加密文件和文件夹，而不是锁定用户手机。LockerPin在去年9月，一款侵略性Android勒索软件开始在美国各地蔓延。ESET安全研究人员发现第一个可重置手机PIN以永久锁定设备的真实恶意软件，被称为LockerPin，该恶意软件会修改受感染设备的锁屏Pin码，让受害者无法进入屏幕。LockerPin随后需要500美元来解锁设备。勒索软件即服务(RaaS)在2015年开始出现，这些服务通常包含用户友好型勒索软件工具包，这可在黑市购买，售价通常为1000到3000美元，购买者还需要与卖方分享10%到20%的利润。Tox通常被认为是第一款以及最广泛分布的RaaS工具包/勒索软件。TeslaCryptTeslaCrypt也出现在2015年，这可能将是持续威胁，因为开发人员制作出四个版本。它首先通过Angler漏洞利用工具包来分发，随后通过其他来分发。TeslaCrypt利用AES-256来加密文件，然后使用RSA-4096来加密AES私钥。Tor内的C2域被用于支付和分发。在其基础设施内包含多层，包括代理服务器。TeslaCrypt本身非常先进，其包含的功能可允许在受害者机器保持灵活性和持久性。在2016年，TeslaCrypt编写者将其主解密没有交给ESET。LowLevel04和ChimeraLowLevel04勒索软件在2015年被发现，主要瞄准远程桌面和终端服务。与其他勒索软件活动不同，攻击者通过远程手动进行，他们远程进入服务器、绘制内部系统。在这种情况下，攻击者被发现会删除应用、安全和系统日志。Chimera勒索软件在2015年年底被发现，它被认为是第一款doxing勒索软件，它会威胁称在网上公开发布敏感或私人文件。Chimera使用BitMessage的P2P协议用于进行C2通信，这些C2只是Bitmessage节点。Ransom32和7ev3nRansom32被认为是第一个使用JavaScript编写的勒索软件。该恶意软件本身比其他软件要大，达到22MB，它使用NW.js，这允许它处理和执行与其他C++或Delphi编写的勒索软件相类似的操作。Ransom32被认为具有革命性，因为它理论上可在多个平台运行，例如Linux、Mac OSX以及windows。7ev3n勒索软件在过去几个月中开始引起大家关注。在13 bitcoin，它可能是索要赎金最高的勒索软件。7ev3n勒索软件不仅执行典型的加密再勒索，它还会破坏windows系统。该恶意软件开发人员似乎很大程度侧重于确保7ev3n可破坏任何恢复加密文件的方法。7ev3n-HONE$T随后被发布，降低了赎金要求并增加了一些有效的功能。Locky在2016年，EDA2和Hidden Tear的恶意软件编写者在GitHub公开发布了源代码，并声称这样做是出于研究目的，而那些很快复制改代码并做出自定义更改的攻击者导致大量随机变体出现。臭名昭著的Locky勒索软件也在2016年被发现，Locky快速通过网络钓鱼活动以及利用Dridex基础设施传播。Locky也因为感染美国多个地区的医院而登上新闻头条。攻击者很快发现受感染医疗机构快速支付赎金，从而导致包含勒索软件下载的网络钓鱼电子邮件在医疗行业广泛传播。SamSamSamSam或者SAMAS勒索软件被发现专门分发给易受攻击的JBoss服务器。起初，攻击者会通过JexBoss工具对JBoss服务器执行侦查，随后利用漏洞并安装SamSam。与其他勒索软件不同，SamSam包含一个通道，让攻击者可实时通过.onion网站与受害者通信。KeRanger第一个正式基于Mac OSX的勒索软件KeRanger在2016年被发现，它通过针对OSX的Transmission BitTorrent客户端来交付。该勒索软件使用MAC开发证书签名，让其可绕过苹果公司的GateKeeper安全软件。PetyaPetya在2016年开始流行，它通过Drop-Box来交付，并改写受感染机器的主启动记录(MBR)，然后加密物理驱动器本身。它在加密驱动器时还是用假冒的CHKDISK提示。如果在7天内没有支付431美元赎金，支付费用将会翻一倍。Petya更新包含第二个有效载荷，这是Mischa勒索软件变体，而它没有加密硬盘驱动器。MaktubMaktub也是在2016年被发现，它表明勒索软件开发人员在试图创建非常先进的变体。Maktub是第一个使用Crypter的勒索软件，这是用来隐藏或加密恶意软件源代码的软件。Maktub利用windows CryptoAPI执行离线加密，而不是使用C2来检索和存储加密密钥。JigsawJigsaw勒索软件在勒索信息中包含SAW电影系列中流行的Jigsaw人物，它还威胁称如果没有支付150美元的赎金将会每隔60分钟删除一个文件。此外，如果受害者试图阻止进程或重启电脑，将删除1000个文件。CryptXXX在2016年5月底，CryptXXX是被广泛分发的最新勒索软件辩题。研究人员认为它与Reveton勒索软件变体有关，因为在感染阶段有着类似的足迹。CryptXXX通过多种漏洞利用工具包传播，主要是Angler，并通常在bedep感染后被观察到。它的功能包含但不限于：反沙箱检测、鼠标活动监控能力、定制C2通信协议以及通过TOR付款。ZCryptor微软发表文章详细介绍了一种新型勒索软件变体ZCryptoer。除了调整的功能(例如加密文件、添加注册表项等)，Zcryptoer还被认为是第一个Crypto蠕虫病毒。它通过垃圾邮件分发，它有自我繁殖技术来感染外部设备以及其他系统，同时加密每台机器和共享驱动器。勒索软件的未来?专家预测我们在2016年还将继续观测到多个新变种，在这些变种中，可能只有少数会带来很大影响—这取决于恶意软件编写者以及涉及的网络团伙。现在勒索软件编写者还在继续其开发工作，更新预先存在的勒索软件或者制造新的勒索软件，我们预测，增强灵活性和持久性将会成为勒索软件标准。如果勒索软件具有这种能力，这将会是全球性的噩梦。根据最近使用crypter的勒索软件表明，勒索软件编写者知道很多研究人员试图逆向工程其软件，这种逆向工程和分析可能导致勒索软件开发人员改进其勒索软件变体。

谁是勒索软件真正的攻击目标

据悉，这个在国内被大家简称为“比特币病毒”的恶意软件，目前攻陷的国家已经达到99个，并且大型机构、组织是头号目标。

在英国NHS中招之后，紧接着位于桑德兰的尼桑造车厂也宣告“沦陷”。西班牙除了最早被黑的通讯巨头Telefonica，能源公司Iberdrola和燃气公司Gas Natural也没能幸免于难。德国干脆直接被搞得在火车站“示众”。

这个被大家称之为“比特币病毒”的勒索蠕虫，英文大名叫做WannaCry，另外还有俩比较常见的小名，分别是WanaCrypt0r和WCry。

它是今年三月底就已经出现过的一种勒索程序的最新变种，而追根溯源的话是来自于微软操作系统一个叫做“永恒之蓝”（Eternal Blue）的漏洞。美国国家安全局（NSA）曾经根据它开发了一种网络武器，上个月刚刚由于微软发布了新补丁而被“抛弃”。

三月底那次勒索程序就叫WannaCry，所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的说法，所指也是本次爆发的勒索程序。

随后，微软在3月发布的补丁编号为MS17-010，结果众多大企业们和一部分个人用户没能及时安装它，才让不知道从什么途径获取并改造了NSA网络武器的WannaCry有机可乘。

而且这回的勒索软件目标并非只有英国NHS，而是遍布全球，总觉得有种“人家不是只针对英国医疗系统”一样、奇怪的“有人跟我一样糟就放心”了的潜台词。虽然最后事实证明确实全球遭殃。

但WannaCry最早从英国NHS开始爆发，真的只是巧合吗？

对于任何勒索病毒而言，都是最有可能被攻击的“肥肉”：医护人员很可能遇到紧急状况，需要通过电脑系统获取信息（例如病人记录、过敏史等）来完成急救任务，这种时候是最有可能被逼无奈支付“赎金”的。

医疗信息与管理系统学会的隐私和安全总监Lee

Kim也解释说，出于信息储备过于庞大以及隐私考虑，“在医疗和其他一些行业，我们在处理这些（系统）漏洞方面确实会不那么及时”。这也是为什么科技领域普遍认为WannaCry幕后黑手的时机把握得非常巧妙，毕竟微软更新MS17-010补丁还不到两个月。

从开发并释放WannaCry人士角度来考虑这个问题，他们其实并不在乎具体要把哪个行业作为攻击目标，因为他们的逻辑就是任何有利可图的领域都是“肥肉”，都要上手捞一笔。所以他们确实并不是非要跟英国NHS过不去，只不过是好下手罢了。

个人电脑用户被攻击的比例比企业和大型机构低很多，这不仅仅是因为个人电脑打补丁比较方便快捷，也因为这样攻击不仅效率不高、获利的可能也更小。WannaCry的运作机制，根本就是为局域网大规模攻击而设计的。

这样看来，前面提到的全世界其他受攻击大型企业和组织，无论交通、制造、通讯行业，还是国内比较惨烈的学校，确实都是典型存在需要及时从数据库调取信息的领域。

至于敲诈信息的语言问题，Wired在多方搜集信息后发现，WannaCry其实能以总共27种语言运行并勒索赎金，每一种语言也都相当流利，绝对不是简单机器翻译的结果。截至发稿前，WannaCry病毒的发源地都还没能确认下来。

与其说WannaCry幕后是某种单兵作战的“黑客”，倒不如说更有可能是招募了多国人手的大型团伙，并且很有可能“醉温之意不在酒”。毕竟想要简单捞一笔的人，根本没有理由做出如此周全的全球性敲诈方案。

WannaCry在隐藏操作者真实身份这方面，提前完成的工作相当缜密。不仅仅在语言系统上声东击西，利用比特币来索取赎金的道理其实也是一样：杜绝现实货币转账后被通过汇入账户“顺藤摸瓜”的可能。

而且WannaCry的开发者早就有了一个范围宽广、长期作战的策划：“在情况好转之前，它会先变糟糕的——相当糟糕。”（This’ll get worse—a lot worse—before it gets better.）

不过，在晚些时候，一位22岁的英国程序猿小哥就似乎“误打误撞”阻止了WannaCry的进一步扩散。

这位小哥在社交网络上的昵称是MalwareTech（中文意思大概是“恶意软件技术”，听起来反而更像个黑客），阻止了WannaCry的进一步全球肆虐后，他在自己的博客上写下了全过程，甚至英国情报机关GCHQ都在官网转po了这篇博文。

MalwareTech本来应该在度假中，不过他还是迅速反应，找到了一份WannaCry软件的样本。阅读代码时，他发现了一个没有被注册过的域名，下面的代码意思就是WannaCry在黑点电脑前的运行中会先试图访问该域名，如果访问失败就黑掉系统，如果成功则自动退出。

于是MalwareTech就把这个域名给注册了。

在后来一些中文媒体的报道中，小哥的这一举动被强调成是“突发奇想”或者“下意识”之举。正是因为无效域名被注册，后来被WannaCry感染的电脑都在访问该域名时得到了肯定的返回值，于是没有再锁定信息、展开敲诈。

不过MalwareTech自己解释却不是这样的。他在博客中写道，注册这个域名是他作为网络安全工作人员的“标准做法”（standard practice）。过去一年里，遇到所有这样短时间访问量激增的无效域名，他都会将其注册后扔进前面图里提到的“天坑”（sinkhole）里，而这个“天坑”的作用就是“捕获恶意流量”。

WannaCry样本中域名，在昨天全球范围攻击开始后访问量瞬间激增，此前却没有任何被访迹象。

然而MalwareTech职业灵敏度，让他开始考虑WannaCry是否会定期或在特请情况下修改程序中的无效域名，因为如果是这样的话，仅仅注册他所发现的这个域名就无法阻止未来袭击。

即使软件里没有这样的部分，开发者依然能够手动升级WannaCry后再度把它传播开来，所需要做的也就仅仅是替换一个新的无效域名而已。

还有一种更糟糕的情况：如果WannaCry程序中还有另一层自我保护机制，那么无效域名的注册很有可能导致目前所有被感染电脑自动为所有信息加密，无法复原。

为了排除后一种情况，MalwareTech干脆修改了自己一台电脑的主机文件，让它无法连接那个已经被注册了的前无效域名。

电脑成功蓝屏了。

MalwareTech写道：“你可能无法想象一个成年男人在屋里兴奋得跳来跳去，原因竟然是自己电脑被勒索软件搞失灵了。但我当时确实就那样了。”测试结果表明，他的“标准做法”确实阻止了WannaCry的进一步传播。

但是小哥亲自警告：“这事没完”

和某些信息平台热炒MalwareTech“拯救了全世界”的梗不同，英国《卫报》和《英国电讯报》都在标题里明确告诉大家，小哥自己都已经作出警告：“这事没完！”

域名被注册后WannaCry的停止扩散，在他看来只是病毒制造者一个不够成熟的自我保护机制。对方的真正意图并非通过域名是否能连接上来“指挥”病毒的运行，而是通过这种方式判断病毒是否被电脑安全高手捕获。

一旦WannaCry运行时发现域名有反应，真实反应并不是“好心”地停止攻击，而是避免自己被扔进“沙盒”（sandbox）安全机制被人全面分析，干脆退出获得域名响应的电脑系统。

MalwareTech虽然功不可没，但他只是阻止了“比特币病毒”现行样本的扩散，但开发者也已经意识到了这项弱点，随时可能用升级版勒索程序卷土重来。

当然，也不排除，此次勒索软件的最终目的，不是真的想勒索，而是想展现给一些有不法分子查看这个病毒的威力，从而出售这个病毒给他们。如果真的是这样的话，那么接下来的日子，网络安全，将会面临一个很严峻的挑战。

此次勒索软件威胁的不仅是个人用户，还有众多机构和企业。

因此提醒，所有网络用户今后都应加强安全意识，注意更新安全补丁和使用各种杀毒工具。